Watchguard Technologies

Die VPN-Authentifizierung auf Watchguard Firewalls lässt sich sehr einfach zu einem Windows NPS (Network Policy Server) durchreichen:

Schritt 1: Active Directory vorbereiten

  1. Eine AD-Gruppe „PPTP-Users“ anlegen. (Die Gruppe muss exakt so heißen!)
  2. Benutzer welche VPN-Zugang erhalten sollen der eben angelegten Gruppe zuordnen und im Reiter „Dial-In“ den Remotezugriff erlauben.

Schritt 2: Konfigurieren des NPS

  1. Unter Template Management > Shared Secrets ein „Shared Secret“ generieren und dieses dokumentieren(!).
  2. Unter RADIUS Clients and Servers > RADIUS Clients die Watchguard Firewall anlegen und das im letzten Schritt generierte „Shared Secret“ hinterlegen.
  3. Unter Policies > Connection Request Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
    • Type of network access server: „Remote Access Server (VPN-Dial up)“
    • Conditions: NAS Port Type = Virtual (VPN)
    • Authentication Provider: Local Computer
  4. Unter Policies > Network Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
    • Type of network access server: „Remote Access Server (VPN-Dial up)“
    • Grant access if the connection request matches this policy.
    • Conditions: NAS Port Type = Virtual (VPN) UND Windows Groups = DOMAIN\PPTP-Users
    • Constraints: Authentication Methods je nach Anforderung setzen.
    • Settings: Framed-Protocol = PPP und Service-Type = Framed
    • Settings: Encryption nach Anforderung setzen. („No encryption“ sollte natürlich nicht gesetzt sein!)

Schritt 3: Konfigurieren der Watchguard Firewall

  1. Policy Manager starten.
  2. Das Menu Setup > Authentication aufrufen.
  3. Im Tab RADIUS folgende Einstellungen treffen:
    • „Enable RADIUS Server“ aktivieren
    • IP-Adresse und Port des NPS eintragen
    • das in Schritt 2 generierte Shared Secret eintragen
  4. Im Menu VPN > Mobile VPN > PPTP die Option „Use RADIUS Authentication“ aktivieren.